Ponad 40 fałszywych rozszerzeń Firefox kradnie twoje kryptowaluty – ostrzega Koi Security
Zajmujące się cyberbezpieczeństwem Koi Security ujawniło zakrojoną na szeroką skalę kampanię złośliwych działań, obejmującą ponad 40 fałszywych rozszerzeń do przeglądarki Firefox. Te powstały w celu kradzieży danych logowania do portfeli kryptowalutowych nieświadomych użytkowników.
Złośliwe rozszerzenia podszywają się pod legalne narzędzia portfeli znanych platform, takich jak: Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet oraz Filfox.
Według Koi Security, kampania jest aktywna co najmniej od kwietnia 2025 roku, a nowe fałszywe rozszerzenia były dodawane do sklepu Firefox Add-ons jeszcze w zeszłym tygodniu.
Rozszerzenia te przechwytują dane logowania do portfeli bezpośrednio ze stron internetowych, a następnie przesyłają je na zdalne serwery kontrolowane przez cyberprzestępców.
Warto zaznaczyć, że OKX już w styczniu ostrzegał użytkowników przed fałszywymi rozszerzeniami OKX Wallet dla Firefox, potwierdzając, że giełda nigdy nie opublikowała oficjalnych dodatków do tej przeglądarki.
Platforma zgłosiła sprawę do administracji Firefoksa, domagając się usunięcia złośliwych rozszerzeń i zaleciła użytkownikom natychmiastowe przeniesienie środków z portfeli, jeśli zainstalowali podejrzane wtyczki.
Wyrafinowane techniki budowania zaufania oszukały tysiące użytkowników
Złośliwa kampania wykorzystywała zaawansowane mechanizmy budowania zaufania, aby zwiększyć liczbę instalacji i uniknąć natychmiastowego wykrycia.
Wiele rozszerzeń miało setki fałszywych ocen 5-gwiazdkowych, które znacznie przewyższały faktyczną liczbę użytkowników, tworząc wrażenie szerokiej popularności i pozytywnego odbioru społeczności.
Cyberprzestępcy starannie naśladowali branding legalnych portfeli kryptowalutowych, używając tych samych nazw i logotypów, co zwiększało prawdopodobieństwo przypadkowej instalacji przez użytkowników szukających oficjalnych rozszerzeń.
Atakujący wykorzystywali otwartoźródłowy charakter legalnych portfeli. Klonowali ich oryginalny kod, a następnie dodawali złośliwe elementy.
Taka metoda pozwalała im zachować oczekiwany wygląd i funkcjonalność narzędzi, jednocześnie w tle wykradając poufne dane z portfeli użytkowników.
To podejście nie tylko skracało czas potrzebny na stworzenie rozszerzenia, ale także utrudniało wykrycie złośliwych zmian przez systemy bezpieczeństwa – kod wyglądał bowiem na autentyczny.
Niektóre złośliwe rozszerzenia pozostawały niewykryte przez dłuższy czas właśnie dzięki swojej funkcjonalnej zgodności z prawdziwymi portfelami. Użytkownicy korzystali z rozszerzenia jak z normalnego portfela, nieświadomi, że ich dane logowania trafiają na serwery kontrolowane przez przestępców.
Ataki sprzętowe i programowe wykraczają poza rozszerzenia przeglądarki
Kampania złośliwych rozszerzeń Firefox to tylko jeden z wektorów ataku w coraz bardziej złożonym ekosystemie metod kradzieży kryptowalut, które uderzają zarówno w zabezpieczenia programowe, jak i sprzętowe.
Według niedawnego raportu Cryptonews chiński inwestor stracił niemal 7 milionów dolarów po zakupie fałszywego portfela sprzętowego za pośrednictwem Douyin, czyli chińskiej wersji TikToka.
Zaawansowana pułapka sprzętowa polegała na zmanipulowaniu procesu generowania kluczy prywatnych na poziomie podstawowym. Po pierwszym uruchomieniu urządzenia generowało ono klucze, które były już znane atakującym, dając im pełny dostęp do środków, przy jednoczesnym stworzeniu u ofiary fałszywego poczucia bezpieczeństwa.
Podobnie, firma Moonlock zajmująca się cyberbezpieczeństwem ostrzegła ostatnio przed fałszywymi aplikacjami Ledger Live, które atakują użytkowników systemu macOS przy użyciu złośliwego oprogramowania Atomic macOS Stealer.
Malware, rozpowszechniany za pośrednictwem co najmniej 2800 zainfekowanych stron internetowych, zastępuje oryginalne aplikacje Ledger Live fałszywymi wersjami, które zbierają frazy seed poprzez realistycznie wyglądające wyskakujące okienka.
Cyberprzestępcy wychodzą poza sferę cyfrową – coraz więcej fizycznych ataków phishingowych
Atakujący rozszerzają swoje działania nie tylko na oprogramowanie i sprzęt, lecz coraz częściej wykorzystują również tradycyjne systemy pocztowe. Odnotowano przypadki fizycznych ataków phishingowych, w których oszuści podszywają się pod firmę Ledger i wysyłają fałszywe listy za pośrednictwem amerykańskiej poczty (USPS).
W treści listów nakłaniają użytkowników do „weryfikacji” portfela, zamieszczając kody QR prowadzące do stron phishingowych, których celem jest kradzież kluczy prywatnych.
To najnowsze odkrycie wpisuje się w rosnące zagrożenie dla branży kryptowalut ze strony coraz bardziej wyrafinowanych cyberprzestępców.
Zgodnie z raportem bezpieczeństwa firmy CertiK, inwestorzy kryptowalutowi stracili ponad 2,2 miliarda dolarów w wyniku ataków, oszustw i naruszeń bezpieczeństwa tylko w pierwszej połowie 2025 roku.
Same naruszenia związane z portfelami odpowiadają za 1,7 miliarda dolarów strat w zaledwie 34 atakach, a phishing przyniósł ponad 410 milionów dolarów strat w ramach 132 incydentów.
Ethereum pozostaje najbardziej atakowanym blockchainem, ze 175 przypadkami naruszeń i ponad 1,6 miliarda dolarów strat.
Największy atak miał miejsce w lutym, gdy giełda Bybit padła ofiarą włamania, w wyniku którego skradziono ponad 1,5 miliarda dolarów w ETH powiązanym z usługami stakingu płynnego (liquid-staked ETH) oraz MegaETH.
Błędy w kodzie źródłowym spowodowały w samym maju straty rzędu 229 milionów dolarów, co stanowi ogromny wzrost względem kwietnia, gdy odnotowano jedynie 5 milionów strat z tego tytułu.
Na całym świecie rośnie także liczba ataków fizycznych wymierzonych bezpośrednio w posiadaczy kryptowalut. W 2025 roku zgłoszono już co najmniej 32 takie incydenty, co oznacza, że ten rok może pobić niechlubny rekord z 2021, kiedy odnotowano aż 36 takich ataków.
2M+
250+
8
66+
Nie przegap
in numbers
